Los investigadores de seguridad detectaron un ataque peligroso y generalizado contra empresas en Rusia, el grupo de piratería detrás se conoce como OldGremlin. Los objetivos son empresas prolíficas en diferentes sectores, y los piratas informáticos parecen estar usando diferentes ransomware y malware relacionado como sus armas preferidas.
Empresas rusas objetivo de la campaña de ransomware orquestada por OldGremlin Hacking Group
Las empresas rusas se han convertido en el objetivo de una nueva ola devastadora de ataques de ransomware. Esta noticia surgió de varios informes que indicaban que las intrusiones están relacionadas y rastreadas hasta un solo grupo de piratería.. Se llama OldGremlin, y se cree que está organizado por un colectivo muy experimentado. Las empresas objetivo son de sectores esenciales de la industria.: instituciones financieras (incluidos los bancos), fabricación, desarrolladores de software, y laboratorios médicos.
Los primeros ataques han sido rastreado haber comenzado en marzo de este año. Según la información conocida, las campañas han sido varias; la primera intrusión exitosa se realizó en agosto 11 contra un laboratorio clínico. Esto muestra que los piratas informáticos monitorean y actualizan continuamente su estrategia para encontrar una debilidad.. Una de las especulaciones es que los criminales usan objetivos rusos como prueba antes de cambiarse a otro país.. Parece que los piratas informáticos están utilizando un método de ataque sofisticado con varios programas maliciosos.. El objetivo principal es entregar ransomware complejo a las empresas objetivo’ redes internas. Encriptarán a los usuarios objetivo’ datos y luego extorsionar a las víctimas por un pago de descifrado.
OldGremlin Hacking Group y sus tácticas de infiltración
El mecanismo utilizado por los piratas informáticos no es el simple enfoque de fuerza bruta y la implementación automática de virus., que es comúnmente observado por la mayoría de los grupos criminales. En cambio, el grupo usa troyanos de diseño personalizado que están programados para entregar cargas útiles adicionales a las computadoras de destino. Dos de los detectados son TinyNode y TinyPosh.
Uno de los primeros mecanismos que se utilizan para entrometerse en una red determinada es enviar un mensaje de correo electrónico de phishing, que se hace pasar por una factura enviada por el Grupo RBC, uno de los principales grupos de medios de Rusia. Dependiendo de la campaña de ataque, el contenido del mensaje puede cambiar para estafar a los destinatarios haciéndoles creer que proviene de una institución financiera, una empresa asociada, clínicas dentales, clientes, etc. Una de las campañas generalizadas hizo uso de mensajes temáticos de COVID-19., que eran un mecanismo muy eficaz para distribuir malware.
El contenido de los mensajes contendrá un enlace o un archivo adjunto para entregar los troyanos mencionados anteriormente.. Ejecutarán sus secuencias integradas; en el final, el agente del cliente local establecerá una conexión segura con los servidores controlados por piratas informáticos. Esta conexión persistente permite a los delincuentes tomar el control de las máquinas., espiar a las víctimas, e instalar el ransomware correspondiente.
Los ataques del grupo de hackers continúan con diferentes campañas y modelos de ataque. Por todos los medios, los hackers’ actitud muestra que continuarán con sus esfuerzos e intentarán inmiscuirse en otras redes también.